Openssl应用编程

对于openssl应用编程这方面的详细文档很少,我是通过认真分析openssl源码包中的示例代码来学习并结合man文档来理解它的基本结构的。SSL通讯模型为标准的C/S结构,除了在TCP层之上进行传输之外,与一般的通讯没有什么明显的区别。下面我对用SSL建立安全的TCP连接的流程作一简单分析。

一、数字证书准备

通常情况下我们的服务端需要

服务器端的私钥server.key文件

服务器端证书server.crt文件

对于双向认证连接,要用到

客户端的私钥client.key文件

客户器端证书client.crt文件

对于单向认证连接,不需要用到户端证书文件

二、 程序结构

与ssl有关的头文件都放在openssl目录下,通常需要用到这些:

#include /* SSLeay stuff */与RSA算法有关的一些定义

#include /*加密库接口*/

#include /*证书文件相关*/

#include

#include

#include

1、对OPENSSL的一些必要的初始化

SSL_load_error_strings(); /*进行错误信息的初始化,不是必须的, 如果要使用OpenSSL的出错信息打印,就要调用它*/

SSLeay_add_ssl_algorithms(); /*加载SSL算法库*/

/*还可使用以下两种方法加载SSL算法库

SSL_library_init(void);
OpenSSL_add_ssl_algorithms();

*/

创建SSL上下方环境

meth = SSLv23_server_method();

/*客户端模式有:

SSL_METHOD* TLSv1_client_method(void);TLSv1.0协议
SSL_METHOD* SSLv2_client_method(void);SSLv2协议
SSL_METHOD* SSLv3_client_method(void);SSLv3协议
SSL_METHOD* SSLv23_client_method(void);SSLv2/v3协议

服务端模式有:

SSL_METHOD* TLSv1_server_method(void);
SSL_METHOD* SSLv2_server_method(void);
SSL_METHOD* SSLv3_server_method(void);
SSL_METHOD* SSLv23_server_method(void);

*/

ctx = SSL_CTX_new (meth); /*在应用中,客户端和服务端必须为相同模式*/

ctx为返回的为当前SSL会话环境的指针,我们根据自己的需要对它进行设置:

void SSL_CTX_set_verify(SSL_CTX*, int, int* (int, X509_STORE_CTX*));

设置证书验证的方式。第一个参数是当前的CTX指针,第二个是验证方式,如果是要验证对方的话,就使用SSL_VERIFY_PEER。不需要的话,使用 SSL_VERIFY_NONE.一般情况下,客户端需要验证对方,而服务器不需要。第三个参数是处理验证的回调函数,如果没有特殊的需要,使用空指针就可以了。

void SSL_CTX_load_verify_locations(SSL_CTX*, const char*, const char*);

加载证书,第一个参数同上,参数二是证书文件的名称,参数三是证书文件的路径;

int SSL_CTX_use_certificate_file(SSL_CTX* ctx, const char* file,int type);

加载本地的证书;type指明证书文件的结构类型;失败返回-1

SSL_CTX_set_default_passwd_cb_userdata(ctx, "123456");

设置SSL要加载的证书的口令,如果不设置的话加载证书时会出提示符要求输入口令的,这样在程序中使用就比较麻烦,该函数就是预先将口令保存,在读证书时自动使用。

int SSL_CTX_use_PrivateKey_file(SSL_CTX* ctx,const char* file,int type);

加载自己的私钥;type参数指明私钥文件的结构类型;失败返回-1。加载了证书和文件之后,就可以验证私钥和证书是否相符:

int SSL_CTX_check_private_key(SSL_CTX*);

示例:

if (SSL_CTX_use_certificate_file(ctx, server.crt, SSL_FILETYPE_PEM) <= 0) {

ERR_print_errors_fp(stderr);

exit(3);

}

SSL_CTX_set_default_passwd_cb_userdata(ctx, "123456789");

if (SSL_CTX_use_PrivateKey_file(ctx, server.key, SSL_FILETYPE_PEM) <= 0) {

ERR_print_errors_fp(stderr);

exit(4);

}

if (!SSL_CTX_check_private_key(ctx)) {

fprintf(stderr,"Private key does not match the certificate public key/n");

exit(5);

}

2、关联tcp套接字

SSL接连是依赖于socket套接字的,所以安全连接必须关联相应套接字。SSL通信过程是在tcp连接建立之后进行的,所以套接字的建立过程跟普通的socket编程没有什么不同的,这里不在赘述。

ssl = SSL_new (ctx); //申请SSL套接字

SSL_set_fd (ssl, sd); //绑定读写套接字

以上调用将连接成功的TCP套接字与SSL关联。

3、开始安全通信

对于服务端调用

err = SSL_accept (ssl);

监听客户请求,对于客户端调用

err = SSL_connect (ssl);

发起连接。成功之后,双方就可以通过调用

int SSL_read(SSL* ssl, char* buf, int num);
int SSL_write(SSL* ssl, char* buf, int num);

进行安全通信了。

此时双方可通过调用X509* SSL_get_peer_certificate(SSL* ssl)来获取对方的证书信息

示例:

client_cert = SSL_get_peer_certificate (ssl);

if (client_cert != NULL) {

printf ("Client certificate:/n");

str = X509_NAME_oneline (X509_get_subject_name (client_cert), 0, 0);

CHK_NULL(str);

printf ("/t subject: %s/n", str);

OPENSSL_free (str);

str = X509_NAME_oneline (X509_get_issuer_name (client_cert), 0, 0);

CHK_NULL(str);

printf ("/t issuer: %s/n", str);

OPENSSL_free (str);

/* We could do all sorts of certificate verification stuff here before

deallocating the certificate. */

X509_free (client_cert);

} else

printf ("Client does not have certificate./n");

4、通讯结束,需要释放前面申请的SSL资源

int SSL_shutdown(SSL* ssl);关闭SSL套接字;
void SSL_free(ssl);释放SSL套接字;
void SSL_CTX_free(ctx);释放SSL环境;

你可能感兴趣的:(Openssl应用编程)